Cep Telefonu Adli İncelemesi: Süreç, Kanıtlar ve Ne Zaman İhtiyacınız Olur (2025)

CyberLord Forensics Team

Cep Telefonu Adli İncelemesi: Süreç, Kanıtlar ve Ne Zaman İhtiyacınız Olur (2025)

Bir uzlaşmadan şüpheleniyorsanız, bir cep telefonu adli incelemesi ne olduğunu, hangi verilere erişildiğini ve kötü amaçlı yazılım veya yetkisiz erişimin mevcut olup olmadığını belirleyebilir. Birçok kişi bir güvenlik olayından sonra yanıtlara ihtiyaç duyduğunda "cep telefonu hackleme incelemesi" araması yapar. Bu rehber süreci sade bir dille açıklamaktadır.

Telefonunuz sadece bir telefon değildir. Hayatınızın bir "kara kutusu"dur. Dün gece nerede uyuduğunuzu (GPS), kiminle konuştuğunuzu (arama kayıtları), ne satın aldığınızı (cüzdan) ve en derin sırlarınızı (Signal/WhatsApp) bilir.

Bir güvenlik olayı meydana geldiğinde – ister kurumsal casusluk, ister karmaşık bir boşanma davası, ister Pegasus gibi devlet düzeyinde bir casus yazılım şüphesi – basit bir "antivirüs taraması" yeterli değildir. Bir Cep Telefonu Adli İncelemesine ihtiyacınız vardır.

2025'te mobil adli bilişim, "silinen metinleri kurtarmaktan" "geçici kötü amaçlı yazılımlar için RAM'i analiz etmeye" evrildi. Bu kesin rehber, bir adli laboratuvarın içinde ne olduğunu, modern iPhone ve Android'lerden gerçekten hangi kanıtların kurtarılabileceğini ve neden "Fabrika Sıfırlama" her zaman gerçeği gizlemediğini açıklar.

Önleme adımları için iPhone hacklenmesini önleme rehberimize bakın.

Cep Telefonu Adli İncelemesi Nedir?

Mobil adli inceleme, bir akıllı telefondan kanıt toplamak, korumak ve analiz etmek için yapılandırılmış, yasal olarak savunulabilir bir süreçtir. Temel bir güvenlik taramasının ötesine geçer ve kanıt bütünlüğü, izlenebilirlik ve net raporlamaya odaklanır.

Bir veri kurtarma hizmetinden (sadece fotoğraflarınızı geri almak isteyen) farklı olarak, bir adli inceleme Bütünlüğe odaklanır:

  1. Tutukluluk Zinciri: Cihazı tam olarak kimin ne zaman tuttuğunu belgeliyoruz.
  2. Salt Okunur Erişim: Tarama sırasında telefondaki verileri kazara değiştirmediğimizden emin olmak için "Yazma Engelleyicileri" kullanırız.
  3. Hash Doğrulaması: Kanıtın karıştırılmadığını kanıtlamak için çıkarmadan önce ve sonra verinin dijital bir parmak izini (Hash) hesaplarız.

Ne Zaman Adli Muaeyeneye İhtiyacınız Olur

Yaygın kullanım durumları şunları içerir:

  • Şüpheli hesap ele geçirme, casus yazılım veya takip yazılımı (stalkerware)
  • Şirket cihazlarını içeren kurumsal soruşturmalar
  • Belgeleme gerektiren yasal veya uyumluluk anlaşmazlıkları
  • Hedefli tehditlerle karşı karşıya kalan hassas kullanıcılar (yöneticiler, gazeteciler, kamuya mal olmuş kişiler)

Hangi Kanıtlar Kurtarılabilir?

Nitelikli bir adli muayene şunları kurtarabilir:

  • Arama kayıtları, SMS ve mesajlaşma uygulaması meta verileri
  • Uygulama etkinliği ve kimlik doğrulama izleri
  • Konum geçmişi ve ağ bağlantıları
  • Tarayıcı geçmişi, indirmeler ve dosya erişimi
  • Cihaz yapılandırma değişiklikleri ve sistem günlükleri
  • Silinen eserler (kurtarılabilir ve yasal olarak izin verildiğinde)

1. "Silinen" WhatsApp & Signal

WhatsApp'ta bir mesaj sildiğinizde hemen silinmez. "Boş alan" olarak işaretlenir.

  • Adli Gerçek: Hızlı hareket edersek, bunları genellikle SQLite Write-Ahead Logs (WAL) dosyalarından kurtarabiliriz.
  • Signal: Signal veritabanını şiddetli bir şekilde şifreler. Ancak şifreye sahipsek veritabanını şifresini çözebilir ve mesajları görebiliriz.

2. Konum Geçmişi (Önemli Konumlar)

iPhone'unuz, trafik yönlendirmesini optimize etmek için "Önemli Konumlarınızı" (Ev, İş, Sık Ziyaretler) takip eder.

  • Adli Gerçek: Bu haritayı çıkarabiliriz. Şüphelinin saat 21:00'de Google Maps'i kapatsa bile olay yerinde olduğunu kanıtlayabiliriz.

3. "Yaşam Modeli" (Pattern of Life)

Kullanıcının alışkanlıklarının bir zaman çizelgesini oluştururuz.

  • Telefon ne zaman kilitlendi/kilidi açıldı?
  • Şarja takıldığında?
  • Adımsayar ne zaman adım kaydetti?

Örnek: Bir cinayet davasında şüpheli saat 23:00'te uyuduğunu iddia etti. Adli inceleme, telefonun adımsayıcısının 23:00 ile 23:30 arasında 2.000 adım kaydettiğini gösterdi. Mazeret çöktü.

Adli Süreç (Adım Adım)

  1. Giriş ve kapsam: Hedefleri, cihaz türünü ve yasal yetkiyi tanımlayın.
  2. Koruma: Gözetim zincirini sürdürün ve cihazı izole edin.
  3. Edinme: Onaylanmış adli yöntemleri kullanarak verileri yakalayın.
  4. Analiz: Olayları ilişkilendirin, göstergeleri belirleyin ve zaman çizelgelerini doğrulayın.
  5. Raporlama: Sonuçlar ve önerilerle birlikte kanıt destekli bir rapor sunun.

Çıkarma Türleri: Mantıksal vs. Dosya Sistemi vs. Fiziksel

  • Mantıksal çıkarma: Standart API'ler aracılığıyla erişilebilir verileri çeker. Daha hızlı, ancak sınırlı.
  • Dosya sistemi çıkarma: Uygulama verilerine ve sistem günlüklerine daha derin erişim.
  • Fiziksel çıkarma: Desteklendiğinde bit bit görüntüleme, silinen eserler için en iyisi.

Yöntem cihaz modeline, işletim sistemi sürümüne ve yasal kapsama bağlıdır.

Modern Casus Yazılımların Tespiti (Pegasus, Predator, Reign)

2025'te "Virus.exe" adlı bir uygulama aramıyorsunuz. Devlet destekli casus yazılım Pegasus "dosyasızdır." Telefonun belleğinde yaşar veya sistem işlemlerini taklit eder.

Bir adli inceleme sırasında, geçerli kullanıcıların asla görmediği IoC'leri (Teslim Olma Göstergeleri) ararız:

  1. Anormal İşlemler: "Hesap Makinesi" uygulaması neden sabah 3'te Bulgaristan'daki bir sunucuya 50MB veri gönderiyor?
  2. Pil Kullanımı: Casus yazılım pil tüketir. Pil sağlığındaki ani bir düşüş genellikle enfeksiyonla ilişkilidir.
  3. Sistem Tutarsızlıkları: Bir iPhone 30 gündür yeniden başlatılmadığını söylüyorsa, ancak sistem günlükleri dün bir kernel panik olduğunu gösteriyorsa, o "panik" kalıcılık kazanmak için telefonu çökerten exploit olabilir.

Not: Pegasus'u tespit etmek Seviye 2 (Dosya Sistemi) çıkarma gerektirir. Basit bir uygulama mağazası tarayıcısı ile tespit edemezsiniz.

Ne Kadar Sürer?

Çoğu mobil adli muayene, cihazın karmaşıklığına, kapsamına ve aciliyetine bağlı olarak 3-10 iş günü sürer. Yüksek riskli vakalar daha hızlı triyaj gerektirebilir.

Bir Muayeneden Önce Ne Yapmalı (ve Yapmamalı)sınız

  • Fabrika ayarlarına sıfırlamayın veya uygulamaları kaldırmayın.
  • Aktif bir uzlaşmadan şüpheleniyorsanız cihazı kullanmayı bırakın.
  • Olağandışı davranışları belgeleyin (ekran görüntüleri, zaman damgaları).
  • Mümkünse, hassas iletişimleri ayrı, temiz bir cihaza taşıyın.

Yasal ve Rıza Hususları

Bir cihazı incelemek için yasal yetkiye sahip olmalısınız. Bu genellikle şu anlama gelir:

  • Cihazın sahibi sizsiniz veya
  • Yasal sahibinden yazılı rızanız var veya
  • Cihaz, politika rızası ile şirkete aittir

Yetkisiz erişim yasal maruziyet yaratabilir ve kanıtları geçersiz kılabilir.

SSS

Adli bir muayene casus yazılımı tespit edebilir mi? Genellikle evet. Araştırmacılar bilinmeyen profiller, şüpheli süreçler ve anormal ağ davranışı gibi göstergeleri ararlar.

Adli bir muayene silinen mesajları bulacak mı? Bazen. Kurtarma, cihaz modeline, işletim sistemi sürümüne ve silme işleminden sonra cihazın ne kadar kullanıldığına bağlıdır.

Bu olay müdahalesi ile aynı mı? Adli bilişim kanıtlara ve raporlamaya odaklanır. Olay müdahalesi, sınırlama ve kurtarmaya odaklanır. Acil durumlar için olay müdahalesi ile başlayın.

Kilitli bir iPhone'un kilidini açabilir misiniz? Duruma bağlıdır. Eski iPhone'lar için (iPhone X ve altı), GrayKey veya Cellebrite kullanarak evet. Modern iPhone'lar (13, 14, 15+) için şifre olmadan son derece zordur.

Fabrika ayarlarına sıfırlama kanıtları yok eder mi? Modern akıllı telefonlarda şifreleme ile: Evet. Fabrika ayarlarına sıfırlama "Şifreleme Anahtarını" siler. Anahtar olmadan veri sadece rastgele gürültüdür.

Özet

Bir cep telefonu adli incelemesi, bir cihazda ne olduğuna dair net, kanıt destekli bir görünüm sağlar. Şüphelenilen bir uzlaşmadan sonra savunulabilir bir yanıta ihtiyacınız varsa, profesyonel mobil adli bilişim en güvenli yoldur.

Dijital hayatınızın ihlal edildiğinden şüpheleniyorsanız, tahmin etmeyin. Kanıtları koruyun.

  1. Telefonu Uçak Moduna alın (uzaktan silmeyi durdurmak için).
  2. Bir Faraday Çantasına koyun (sinyalleri engellemek için).
  3. Kapatmayın (yeniden başlatmadan sonra modern şifreleme kırılması daha zordur - BFU modu).
  4. Hemen bir adli uzmanla iletişime geçin.

Genel Bakış

Bu konu için temel kararlar, riskler ve uygulama adımları.

İlgili Kaynaklar